【2020中国企业家十大法律风险】 《原则》的作者瑞·达利欧曾说,一个组织最重要的就是建立自己的原则,不管外部环境如何变化,它始终帮助企业保持某种稳定性。这个原则就是企业的价值观和文化,合规作为现代企业的价值观,是在运行和纠错中落实,又在落实中建立和强化的。 1、风险的识别、评估与控制 通过调查问卷发现,企业对风险识别的重要性有所关注。75%的被调查者表示,在“识别风险的基础上,相应制定合规程序和流程”,这可以说是静态的合规。但在合规制度的具体运行过程中,“对业务部门开展独立监督,跟进落实合规程序和流程”的选择率是32%、“对不合规情况及时、公开处理,监督改进”的选择率是40%,这组数据说明相关企业对于合规制度的落实还有待提高,这实际上是动态的合规。对于企业而言,识别风险不易,控制风险更难,如何把合规文化和制度落实在每一个业务流程、每一个人,对每个企业而言都是严峻的挑战。 (1)识别风险 识别风险可以说是合规的原点,整个合规体系都是基于此建立的。不同的行业、企业发展的不同阶段,可能面临不同的风险。医药行业的商业贿赂、互联网公司的个人信息保护、平台公司的内容审查等,都是常见的风险点。“蒋凡事件”对于小公司可能是茶余饭后的谈资,对于阿里巴巴这样的头部企业,可能就是一次严重的公关危机。所以一定要用发展的眼光识别风险。 2020年7月,拼多多APP的商家宜买车汽车旗舰店上线“特斯拉Model3万人团”团购活动。拼多多每台车补贴40,000元给购车用户,以抢购成功的用户名义在特斯拉官网上下单买车。原价291,800元的Model3标准续航后驱版,只需251,800元。7月21日,特斯拉声明,未与拼多多或者宜买车合作,并拒绝交付下单车辆,称违反禁止转卖条款。8月14日,此事经新浪科技曝光后,迅速冲上微博热搜。 拼多多作为平台电商,典型的业务模式是,同时面向买家和卖家。对于买家,拼多多提供商品的展示和选购;对于卖家,拼多多提供平台服务。这个模式的前提是,买卖双方都愿意与拼多多合作,这也是所有市场行为必须遵守的自愿原则。但是在“特斯拉团购”事件中,拼多多未经特斯拉同意,单方通过补贴,实际拉低了特斯拉的正常售价,破坏了特斯拉的直销体系和品牌定位,扰乱了市场。并且拼多多向特斯拉隐瞒了其以用户的名义下单的事实,某种程度上构成欺骗,背离了市场交易的诚信原则。这实际上是拼多多蹭特斯拉的品牌热度,提升其市场竞争力,本质上是一种不正当竞争行为。 如果仅从合同本身来看,特斯拉得到了销售全款,用户获得正品的汽车,这可能是拼多多认定这一活动合法的立足点。但是,市场的本质是自愿和诚信,所有违背这一原则的行为都是受市场谴责的行为,也是不能长久的商业策略。合规中的“规”,含义本身就是多重的,并不局限于法,还包括伦理规范和社会责任。合规的最终目的,是引导公司成为“良善公民”。所以,企业对风险的识别,不能仅停留在具体的法律规范,还应上升到商业伦理和社会责任,公司应秉持善意和诚信行事,才是真正的合规。 (2)在发展中识别风险 我们正身处轰轰烈烈的第四次产业革命,新技术的涌现,使得创新成为这个时代的主题。但是,创新是一个艰难的摸索过程,尤其在以利益为先的商业环境中,有时候“创新”本身也是一种需要识别的风险。 以国家将首次代币发行(ICO)定性为非法金融活动为例。ICO,是一种为加密数字货币项目筹措资金的常见方式,资金用于项目方启动或项目由概念设计向现实转化。早期参与者可以获得初始产生的加密数字货币作为回报,在项目成功后使用这些代币或者出售获利。最初,它只限于少数极客以及投资者范围,交易平台目的单纯,发展相对健康。早期ICO使得初创企业的融资来源更多样,其创新性是不可否认的。 由于现有的监管体系和法律体系无法对该项目进行有效监管,带有强烈投机性的资本迅速卷入,使得ICO很容易偏离其初衷。由于它是为加密数字货币筹资,本身就没有任何实体市值,又没有统一的信息披露标准和程序,高匿名性助长了投机和欺诈,最终,交易平台与产业链演变为一个法定货币之外进行资产转移、融资的违规金融市场,滋长了监管套利、金融犯罪。资金也完全偏离项目本身,真正的创业者无法从中受益,其创新性也在“演化”中荡然无存,给金融市场带来极大的风险和社会安全隐患。后期,ICO已经严重变质,从助力初创企业实现改变市场理想的融资工具,变成骗子们圈钱和非法集资的手段。 2017年9月,人民银行等七部委明确ICO的本质是未经批准的非法公开融资,正式叫停。2019年下半年,深圳、上海、北京的金融监管机构开始加大力度对此进行集中整治。同年10月,号称全球第一会员制加密货币交易所Biss的大部分工作人员以涉嫌洗钱被警方带走调查,12月交易所发布会员清退及补偿方案,进行合规化整改。 人民银行原行长周小川在谈到虚拟货币的监管时说:“我们不太喜欢创造可投机的产品,让人有一夜暴富的幻想,如果要考虑数字货币,应该考虑为市场带来快捷、安全、效率。同时应该考虑大局,不能和现有的金融秩序相冲突。”当ICO偏离区块链技术,成为一种投机项目时,它不再能为社会创造新的价值,迟早会被叫停。企业必须意识到,对于新业务,尤其是暂时处于监管空白的新业务,一定要进行充分的前置性评估、识别风险,并在发展过程中进行调整。 在此次问卷调查中,“对创新性业务设置前置性合规审查”、“对于高风险领域规定强制咨询范围”这两个问题,答卷者的选择率在28%-32%之间,数据虽不甚乐观,但和2019年的数据相较,还是能看到风险意识的提高。 现代社会瞬息万变,在发展中识别风险,才能在发展中解决问题。 (3)识别境外投资的风险 随着我国企业大规模的“走出去”,企业对国际通行规则、商业惯例、法律,甚至是文化宗教、政治等因素可能引发的合规风险,应进行充分的识别、评估和防控。2020年,抖音海外版TikTok拓展海外市场遭遇“冰火两重天”。一方面,TikTok深受东道国市场的欢迎,占有率迅速提升,盈利势头良好;另一方面,它也深陷所在国监管危机,面临强制下架及巨额罚款的严厉惩处。监管风险点集中在:数据安全、儿童隐私、内容合规、知识产权等方面。2020年更是从商业领域、法律制度延伸至地缘政治。 数据显示,2020年1月,TikTok仅在美国的活跃用户中10-19岁的用户占比就高达37.2%,受众定位偏年轻化。2019年,因违反美国儿童隐私法,美国联邦贸易委员会对TikTok罚款570万美元,原因是涉及非法收集13岁以下儿童的个人信息。同期,TikTok遭到了英国信息专员办公室的调查,原因也是在保护儿童数据方面存在涉嫌违反欧盟《通用数据保护条例》的行为。在印度、印尼等宗教信仰深厚的国家,TikTok不重视对平台所涉宗教内容的审查,招致所在国民众的抵制,称其内容引导青年一代“文化堕落”,直接被所在国通信部门“封杀”。在知识产权方面,TikTok更是面临着平台内容“侵权”与“维权”的两难困境。以上事实说明,TikTok没有充分针对所在国的法律和文化习俗,进行风险识别、评估和防控。 我们必须吸取的教训是,在拓展境外业务之前,一定要根据所在国的法律、监管要求和文化习俗,进行充分的风险识别和评估,并制定出有针对性的合规计划。本次调研,对于企业涉及境外业务时,是否会“对境外投资提供符合投资所在国法律和监管要求的合规建议”,选择率仅为15%,这值得警醒。TikTok在海外遭遇的困境说明,对境外市场缺乏充分的风险识别和管理,已成为中国企业出海的最大软肋。 (4)有效控制风险 识别风险的目的,是有效控制风险,但是对风险有认知无控制的情况并不少见。有医药行业受访者提到,企业有合规制度,也能准确识别风险,但是,企业合规工作的重点没有落脚在管理风险,而是切割责任。这一方面固然存在外部环境的问题,另一方面也反映出企业将“合规”作为挡箭牌,而非一种经营理念的现状。 2019年下半年国家市场总局下发通知,专项治理医药行业商业贿赂行为。从公布案例看,多家知名药企卷入贿赂风波。扬子江药业,自2014年以来,涉及贿赂案件就高达15起;济川药业,营销费用常年高居营收占比的50%,饱受质疑。一般来说,如此成熟的药企应该具备完备的合规体系,为什么仍然问题频出?显而易见,合规徒具形式,纠错机制形同虚设。商业贿赂一直是药企的高发风险点,但是企业合规状况一直没有质的突破,主要是没有有效控制风险,或者是行业陷入“劣币驱逐良币”的困境,难以走出屡查屡犯的泥潭。 2020年4月,国家医保局征求《关于建立药品价格和招采信用评价制度指导意见》(以下简称“指导意见稿”)的函在业界流传。这一函件显示,国家医保局将采取措施更加严厉打击和治理医药领域商业贿赂和操纵市场行为,如果受药企委托的经销商出现商业贿赂等违规行为,药企需要负连带责任。之前药企通过代理,可以将风险甩锅给经销商,如果这一指导意见出台,就意味着以往的经销商模式将发生变化,药企、经销商都需要进行变革,做好合规。不能有效控制合规风险的药企,注定被淘汰。 国家医保局将商业贿赂追责至药企,实际上就是以法规明确生态链上的合规责任。在问卷中,对于“有专门针对第三方(包括供应商、经销商、代理、中介等)的合规管理政策”的问题,选择率只有23%,这说明受访者对于生态链上的合规风险认识不足。该指导意见函虽然只是针对药企,但是这预示了立法的趋势。在任何行业中,重视生态链上的合规,才能有效控制风险,净化行业环境。 2、风险的内部预警 风险的产生,是一个长期的过程,合规的有效性,也贯穿在整个过程中。企业内部有一套有效的预警机制,对于企业或任何员工的违规行为能做到及时发现、及时报告,及时奖罚,才能通过制度的实际运行,将纸上的制度变现为现实的奖惩,从而让企业中的每一个人在制度运行中建立真正的合规意识,树立合规文化,这才是合规的最终目的。 内部举报是企业最重要的预警机制,它肇始于安然丑闻之后,美国通过的《萨班斯法案》致力于解决让知道企业违规行为的人有机会内部举报,从而保证合规部门乃至最高层能对违规违法行为及时识别、调查、处理,将风险控制在损害到来之前。内部举报制度成功的基础在于员工有两点确信:第一,企业反对任何违法行为,充分重视内部举报;第二,任何内部举报人都将得到保护和鼓励。内部人是否敢举报,举报后违规者是否得到惩处,举报人是否得到保护,这都是内部举报要产生实效必须解决的问题。某种程度而言,内部举报也是检验合规是否有效的一面镜子。 访谈者表示,内部举报制度在现实中很少运用,更谈不上有良好的效果。一方面,“碍于情面”、“惮于威压”、“事不关己高高挂起”的观念比较普遍,造成内部举报的动力不足;更重要的是,从举报的方式、途径、调查到举报后对举报人的保护与激励,以及对被举报人的惩处,整个流程的落实与机制设计的目标存在很大的距离。 对于高管违规,一般员工无人敢举报;即使是合规人员、内控人员,常常看到问题也是束手无策,一旦问题演变为风险和损失,还要承担责任。调查数据也支持了受访者的观察,对于“设置匿名、有效的违规违法举报通道”,选择率仅为27%,“对举报事项进行调查并公开处理”,选择率更是低至21%,如果要处理内部举报信息,企业必须有一套“明确、完善的内部调查机制和程序”,该问题的选择率也只有34%。如果要保证调查的独立性,“聘请外部专业人士参与内部的合规调查”也是有必要的,该项选择率仅19%,这一组数据不仅反映出企业内部预警机制作用十分有限,且在合规调查方面也有很大的提升空间。 虽然,在“对违规员工进行公开处罚”以及“合规考核结果与任免、晋升以及待遇等挂钩”等涉及奖惩机制落实的选项中,选择率达到了41%-44%,但把这些数字放在很低的举报机制设置背景下,只能说明奖惩机制的落实更不乐观。 制度本身是静态而没有生命力的。如果企业不能让合规管理制度通过一件件具体的事件切实运行起来,不能透过每一次对员工的激励与惩处,将合规的理念与价值观传递到企业的每一个个体,合规就难免沦为纸上的制度。 3、积极应对行政监管 在中国经济转型的过程中,很多领域都面临新旧更替过程带来的一定程度的失序,面对这种失序,行政监管的收紧是不可避免的。对企业而言,就意味着更大的风险。 以数据安全为例。有统计显示,人类迄今为止生成的所有数据中,有90%是在近两年内产生的。也就是说,数据给予人类的价值与意义,在很短的时期内经历了一个颠覆性的认知。从早期互联网野蛮生长、信息随意收集利用,违法信息、不良信息监管缺位,到今天全世界都将网络安全、数据信息安全作为战略部署。各国立法、司法、监管都在急速变化的认知中,迅速跟进、规范。 对于互联网催生的新事物,在早期人们认识不足、无法准确定性,在监管上就会表现为“无规则”、“无边界”、“无约束”。这种“三无”状态又会刺激探索行为的激进化,引发问题的暴露。当社会对这种问题与风险的认识逐渐清晰,规则与监管必定紧随其后,纷至沓来。针对APP违规收集个人信息的行政监管就是一个典型的例子。从最初的无规则,行业一片乱象,到规则不断完善,行政监管不断收紧,短短几年时间,APP违规收集、使用个人信息的情况得到有效遏制。据报道,2019年网信办、工信部等四部门联合开展APP违法违规收集使用个人信息专项治理工作,共受理网民有效举报信息12,000余条,针对2,300余款APP开展深度评估、问题核查,对用户规模大、问题突出的260款APP,有关部门采取了公开曝光、约谈、下架等处罚措施。 其实,监管不是目的,整顿才是。所以,企业应该高度重视监管要求,对监管提示的风险做到积极回应,及时跟进整改、汇报整改情况,与监管部门保持良好的沟通。依据监管要求,优化合规管理,将合规风险阻断在行政监管阶段。根据此次问卷调查,我们看到,有超过半数的企业已经做到依据监管要求,不断完善合规管理与流程。但是,在“建立并保持与监管机构的联系,跟踪落实情况”以及“监督、跟进不合规行为的整改”方面,仍然有80%左右的企业还没有建立起相应的意识,而这才是让合规落地最重要的措施。 在我国,行政监管与刑事执法紧密相连,对于多次行政处罚后不予整改的,就有移交司法作为刑事案件处理的风险。以深圳快播传播淫秽物品牟利案为例,在被公安机关刑事立案之前,深圳网监部门曾因其涉嫌传播淫秽内容视频给予过行政警告处罚,并责令其整改。但快播公司及其管理者没有开展实质性的风险管理、纠偏工作,在主管部门调查期间,还采取了一系列对抗和逃避监管的行为。最终由公安机关介入,以涉嫌非法传播淫秽物品罪立案调查。在外逃110天以后,CEO王欣落网受审。 这只是一个大家比较熟悉的案件,其实在很多案件进入刑事司法程序之前,都有行政监管的介入,尤其在逃税、拒不履行信息网络安全管理义务罪等罪,法律规定必须经过行政处罚,拒不改正的才能移送司法。有的案件是以情节是否严重,来界分行政处罚和刑事处罚的界限,比如违规披露、不披露重要信息罪、串通招投标罪、侵犯公民个人信息罪等,但是“情节是否严重“是一个主观判断标准,积极应对行政监管要求,就能最大限度地避免事件发展到最严重的程度。需要强调的是,行政是监管,监管的目的是为了帮助企业改善。如果企业不整顿改善,紧跟其后的刑事诉讼就是严厉的处罚。所以,行政监管某种程度上就是刑罚的预警,对此企业应抱有诚意,积极应对,主动改善。 总而言之,合规体系是建立在风险识别的基础上,以诚信为价值取向,在发展中识别风险,通过企业内部举报预警,外部行政监管积极纠错,在这个过程中将企业的合规理念落实到实处,提升企业治理能力,才是真正的合规。 注:本文摘自于北京和昶律师事务所与《财富》(中文版)共同发布的“2020中国企业家法律风险报告”。 相关链接: 网络信息内容生态治理下的平台责任和风险 数据保护助力行业和社会发展 【序言】好的公司是通过制度制约人性之恶 而不是以恶制恶 信息时代的数据安全和个人信息保护、 合规是社会和企业的系统工程 个人信息保护应确立产权观念 公司章程:权益平衡、避免内斗 股权配置——维护公司的“人合性” 发展民营经济就是壮大中国经济的基石 新《证券法》背景下上市公司的信息披露责任与风险 互联网金融企业的创新与风险 高利放贷及其衍生的法律风险 建立合规管理体系,培育诚信合规文化
12月30日晚间,科创信息公告,湖南财信金融科技服务有限公司(以下简称“财信金科”)通过大宗交易方式,增持公司股份约797.07万股,占科创信息总股本比例5%。今年9月财信金科已经通过集合竞价交易的方式在二级市场买入科创信息797.07万股。此次增持后,财信金科累计持有科创信息10%股份,成为科创信息第一大股东,并且不排除在未来12个月内增持或减持上市公司股份的计划。 同时,科创信息公告了部分董事、监事股份减持计划进展情况。公告显示,财信金科增持股份是通过大宗交易方式,从费耀平、李杰、李建华、刘应龙、刘星沙五位原实际控制人转让而来。上述五位公司股东于12月7日公告了股份减持计划和一致行动人协议到期终止的决定。 资料显示,财信金科是湖南财信金融控股集团有限公司(以下简称“财信金控”)全资子公司,是财信金控在金融科技领域的重要布局,承担数字化建设、金融科技创新等职能。财信金控是经湖南省人民政府批准组建的国有独资公司,系湖南省唯一的省级地方金融控股公司、省属国有大型骨干企业,旗下拥有信托、证券、寿险、银行、资产管理、基金、期货等14张金融牌照。 科创信息成立于1998年,是国内数字政府及智慧企业领域领先的信息化解决方案提供商,注重在大数据、云计算、移动互联网、人工智能和可信计算等领域的技术研究和产品创新,致力于为政企客户提供软件开发、系统集成、IT运维等于一体的信息化综合解决方案。其业务已覆盖全国二十多个省份,为国家部委、省、市、县等各级单位数千家客户提供了优质的服务,涉及公安、财税、市场监管、教育、医疗、电信、玻璃等多个行业领域,并与多个行业领域龙头企业建立了长期合作关系。 值得关注的是,财信金控近期两次举牌增持科创信息,可以看出其推进数字化转型战略的决心。财信金控今年4月召开了集团IT战略规划项目启动会暨动员大会,明确2020年为集团数字化转型的元年。财信金控党委书记、董事长胡贺波在会上表示,启动数字化转型是打造集团核心竞争力、实现跨越发展的背水一战,是推进集团中长期战略规划落地、加快动能变革的关键一招。 据了解,与科创信息合作将增强财信金控科技力量、提升金融科技创新能力,助力提升现代综合金融服务能力和水平。下一阶段,财信金控还将着力于积极参与湖南省数字政府、智慧城市建设。 分析人士称,财信金控成为科创信息第一大股东后,结合政府越来越看重数据要素主动权、强调数据安全和自主可控的政策背景,科创信息的国资背景将为其协同金融与科技资源及优势,积极参与数字政府相关系统建设和数字经济产业发展提供有力帮助。
—摘 要— 跨境打新已成为中国企业海外上市的焦点话题之一,头部服务机构更是以千亿交易量彰显热潮,与之相伴,个人信息以及一系列金融数据的跨境传输,也让合规风险日益突出 圣诞前后,由于承认二次销售,有着“盲盒第一股”之称的泡泡玛特(Pop Mart)失足跌入舆论漩涡,遭到了网络舆论乃至央媒的口诛笔伐,其市值甚至在一日内就蒸发了120亿港元。而半个月前,泡泡玛特正式在港交所主板挂牌上市,开盘涨幅即超100%。 冰火两重天之下,我们难以预测以泡泡玛特为代表的盲盒经济的未来,但其所折射的“跨境打新”现象却已然成为企业上市投资相关的焦点话题之一,易操作、风险低、收益高等特点迅速推动这股热潮风靡国内。 一段时间以来,国内创新型概念企业纷纷选择在境外的纽交所、港交所上市,再叠加国内适合个人投资优质资产的相对缺失,“跨境打新”也就逐渐成为投资者分享相关企业发展红利的重要路径。然而与监管的属地原则相适应,客户的美股和港股均需托管在境外第三方合作清算商,美股托管账户内客户资产受到美国证监会和美国金融管理局监管,港股托管账户内客户资产受到香港证监会监管。 因此,客户的姓名、身份证号、住址、邮箱、联系电话、婚姻状况、就业情况等个人信息,以及客户净流动资产、净资产、总资产、净年收入等金融数据按要求也就会由相应的券商跨境提供给境外清算商进行客户实名制审核、资产评估等,由此便产生了金融数据跨境传输的合规风险。 正所谓“窥一斑而见全豹”,本文以一些持有境外券商牌照和注册投顾牌照,却向中国居民提供跨境金融服务的新型金融服务提供商为例(此类公司通过网站、APP等向中国境内居民提供投资美股、港股等服务,包括股票交易下单与执行等),从主体、客体(数据)、行为等多个层面分析向境外传输金融数据的风险隐患,在此基础上结合本土实践和国际经验对其合规监管提出完善建议。 与信息匮乏的时代相比,人类社会跨入信息时代的重要标志之一便是数据在总量规模和增长速度上的显著提升,最终质变为重要的生产要素,进而促成数字经济的诞生。然而祸福相倚,由于理性的有限和欲求的诱惑,数据信息获取使用上的便利也就由福音异化为魔咒,人们往往迷失于眼前新闻的光怪陆离,而丧失了根本趋势的整体把握,势必会让个人乃至社会支付更加高昂的代价。 主体视角:是否构成CIIO 与很多业务开展类似,金融数据跨境传输关键需要回答“可不可以,如何能够”等问题,这从逻辑上首先要求判断从事行为的机构类型,并以此确认其权利义务的边界。 根据《网络安全法》第37条的规定,关键信息基础设施运营者(“CIIO”)在国内收集和产生的个人信息和重要数据有本地化存储的特殊要求,即使确需出境,也需向监管部门进行安全评估。因此,在数据出境过程中,主体是否构成CIIO将直接决定其是否需承担本地化存储和安全评估的强制性义务。 那什么是关键信息基础设施运营者呢?按照《关键信息基础设施安全保护条例(征求意见稿)》第18条的定义,所谓关键信息基础设施运营者是指运营、管理一旦遭到破坏、丧失功能或者数据泄露,可能危害国家安全、国计民生、公共利益的网络设施和信息系统的单位,包括政府机关、金融和互联网等行业领域的机构。 以某家依托国外券商牌照向中国居民提供港美股投资服务的头部公司为例,从业务开展方面看,其同时涉及金融和互联网领域,直接提供美港股投资申购和投资等金融服务;从规模增长方面看,其占全球华人互联网券商市场的份额接近60%,用户超过400万,年交易规模超过1000亿,在其服务机构中也不乏36氪、网易有道、理想汽车以及泡泡玛特等的身影。 不难看出,国内企业境外上市对这些公司的依赖已然达到前所未有的程度,巨额投资量和客户规模数决定了其信息设施安全与国计民生关联日渐紧密,而涉及跨境传输的数据亦包含了客户资产、年收入等敏感性极强的金融数据,对金融行业甚至更高层面的影响在加大。 有鉴于此,至少在理论推演层面,上述跨境金融服务商尤其是其头部机构被认定为CIIO的概率较大。同时,尽管该类公司大多提供美股、港股、澳股、期货、基金等境外金融服务,但其服务对象主要还是中国民众以及华人华侨,因此仍然满足“在国内收集和产生”的要件,故其处理的相关数据原则上应当进行本地化存储,即使确需跨境传输,也应当向相关部门进行安全评估。从这些公司的APP用户隐私政策条款(图1)来看,在其中也确实强调了上述义务,值得肯定。 图1/某跨境金融服务商App-隐私政策 数据视角: 是否构成重要数据 如前所述,中国法律制度对CIIO在国内收集和产生的个人信息和重要数据具有本地化存储和安全评估的要求。跨境金融服务商向境外清算商传输的金融数据中包含“个人信息”这一点并无疑义,但这些信息是否构成“重要数据”则需进一步分析。 然而目前中国现行法律制度中还没有对重要数据这一概念进行界定,相关定义均以“征求意见稿”的形式存在(如《个人信息和重要数据出境安全评估办法(征求意见稿)》(2017)第17条,《信息安全技术 数据出境安全评估指南(草案)》(2017)附录A,《数据安全管理办法(征求意见稿)》(2019)第38条等)。 在这些办法中,《数据安全管理办法(征求意见稿)》(2019)第38条对重要数据的定义较具参考意义:“重要数据,是指一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据,如未公开的政府信息,大面积人口、基因健康、地理、矿产资源等。重要数据一般不包括企业生产经营和内部管理信息、个人信息等。”然而,仅凭借该定义仍难以确定互联网券商收集的金融数据是否已经达到重要数据的程度。 进一步考察,可发现《信息安全技术 数据出境安全评估指南(草案)》(2017)在附录A中还体系化归纳了28类重要数据,其中在A.19金融类中明确个人财产信息、账户信息和个人信用信息等可能会构成重要数据,并在总则部分以“如披露可能影响或危害国家经济秩序和金融安全”作为判断标准。 在实际操作中,上述跨境金融服务商在提供跨境打新服务时都收集了个人哪些数据?以某头部机构的业务开展为例,客户如需使用服务则必须进行开户,在开户过程中则会直接要求用户填写净流动资产、净资产、总资产、净年收入(图2),且每个用户均为实名制。因此,其收集的金融数据显然已经构成上述《指南》中的个人财产信息和账户信息。 再结合本文第一部分所述,这些跨境金融服务商近年在国内市场份额、用户数量和交易规模上均已在金融市场中占据举足轻重的地位,如上述相关信息被披露或经他人整合分析进而造成负面后果,理解为达到“影响或危害国家经济秩序和金融安全”的程度也不足为过。 因此,一则具备被认定为CIIO的客观条件,再者其收集并产生的相关金融数据已经构成重要数据,这些跨境金融服务商理应受到本地化存储和安全评估等方面的特殊监管要求。 图2/某跨境金融服务商App-开户页面 行为视角之一: 监管制度有待系统完善 由于被称为“个人”信息,更由于其产生源自个人行动及相关企业对个人行动信息的整合分析,数据姓“私”并进而接受私法领域宪章——《民法典》的规范也就显得理所当然。不过,虽然“在民法慈母般的眼神中,每个人就是整个国家”(孟德斯鸠语),虽然《民法典》也在人格权编第六章“隐私权和个人信息保护”中赋予个人信息和数据以前所未有的法律地位和保护力度,其第一千零三十五条更是规定了处理个人信息应当遵循合法、正当、必要的原则,并用几个条文从宏观上规定了信息处理者的安全保障义务、免责事由等。 然而民法的本质毕竟还是私法,调整的是平等主体间的民事法律关系,因此从理论架构上难以也不适宜涵盖政府监管层面的体系,尤其是在信息产权理论等有关数据权益保护的思潮尚未落实到一般公众思维中的现状下,发挥公法层面的指导和规范作用便具有必要性。在监管层面,由于金融数据同时涉及金融监管和网络安全两方面的合规风险,因此在对上述跨境金融服务商进行跨境数据传输的评估时也应同时考虑双重合规的义务。 在金融监管领域,中国目前涉及个人金融信息跨境传输监管的规定主要包括2011年人民银行发布的《关于银行业金融机构做好个人金融信息保护工作的通知》、2020年2月发布的《个人金融信息保护技术规范》(以下简称《规范)》、2020年9月颁布的《中国人民银行金融消费者权益保护实施办法》和《金融数据安全 数据安全分级指南》(以下简称《指南》)等。 在这些制度中,一方面,《规范》7.1.3条d)项规定,企业在中国境内提供金融产品或服务过程中收集和产生的个人金融信息应在境内存储、处理和分析;确需向境外提供的,有如下合规要求: (1)应取得个人金融信息主体的明示同意; (2)应依据国家、行业有关部门制定的办法与标准开展个人金融信息安全出境评估,确保境外机构数据安全保护能力达到国家、行业有关部门与金融业机构的安全要求; (3)应与境外机构签订协议、现场核查等方式,明确并监督境外机构有效履行个人金融信息保护保密、数据删除、案件协查等职责义务。 另一方面,《指南》也根据金融行业机构数据安全性遭受破坏后的影响对象及程度,将数据安全由高至低划分为五个级别。《指南》中还特别强调,金融行业机构应高度重视与个人金融信息相关的数据安全保护,并在5.3“定级规则”中特别提及重要数据,并指出重要数据的安全等级不可低于该标准所述5级。《指南》中增加重要数据的内容,是国家数据安全标准体系内的相互引用,体现了行业标准对国家标准的继承。 然而,对于安全评估义务,《规范》中虽然规定应依据“有关部门制定的办法与标准”,但目前行业监管机构并未进一步对金融数据跨境评估颁布相关标准,按照法理上“无特殊依一般”的原则,相关行为现阶段主要遵循网络安全层面的一般规定。但这样这实质上便可能导致金融监管层面的安全评估合规落空,而仅凭借网信部门也难以实现《指南》中分级管理的目标。 从现状来看,跨境金融服务商在跨境传输金融数据上,面临的本地化存储、数据主体同意、安全评估和签订协议等义务与网络安全监管层面的要求基本一致,因此,在行业监管层面对数据跨境合规暂不明确的现状下,跨境金融服务商向境外传输金融数据仍应主要落实网络安全层面的监管要求。但展望未来,相关政府部门应当对金融信息跨境传输的评估批准机构、流程进一步明确,同时也建议在监管体系内建立分级管理机制,从而在保护中国金融安全和经济秩序的同时,效益最大化地保障信息共享和传输。 行为视角之二: 安全评估谁来负责 紧接上述制度适用竞合方面的问题,根据《数据安全管理办法(征求意见稿)》第28条,作为网络运营者的境内券商向境外提供重要数据前应当“报经行业主管监管部门同意,行业主管监管部门不明确的,应经省级网信部门批准”,从逻辑上看,由于上述跨境金融服务商隶属金融领域,故相关数据出境应报金融监管部门同意。 具体到实践中,金融监管机构颁布的《个人金融信息保护技术规范》有可能导致将数据出境的安全评估职责指引到网信部门,而后者颁布的《数据安全管理办法(征求意见稿)》却又将安全评估的职责规定给前者,这便在立法层面对于数据出境的安全评估部门出现了模糊的情况。 笔者通过与监管机构多个部门沟通,得到的答复为相关评估工作不属于其管辖范围。因此,中国金融数据出境的现状是,尽管行业监管机构明确,但监管机构却没有具体设立相关部门以履行职责,此时是否应向省级网信部门报批便存在问题,因为《数据安全管理办法(征求意见稿)》明确规定由省级网信部门批准的前提是“行业主管监管部门不明确”,考虑到2020年监管部门刚刚印发了金融数据分级管理的指南,并且基于金融数据和专业性和敏感性也不宜由网信部门对金融数据进行安全评估,因此跨境金融服务商在金融数据跨境传输前向哪一机构申请完成安全评估以及安全评估的程度(例如是否进行分级评估)就存在较大障碍,但不经评估又存在合规风险。 这样,现有规则体系下相关机构进行金融数据跨境传输就较易陷入“评估无门”的困境。 行为视角之三: 个人主体权利保障 除行业监管和安全评估外,金融数据出境也理应得到个人信息主体的同意,然而对于具体情形下前者是否需后者同意却也存在两个方面的具体场景:一是传输方(跨境金融服务商)向境外接收方(如第三方清算商)的传输,二是境外接收方向境外第三方的传输。 对于传输方向境外接收方传输是否需经个人信息主体同意,立法层面发生了多次变化。2017年《个人信息和重要数据出境安全评估办法(征求意见稿)》第4条中要求数据出境须经个人信息主体单独同意,2019年《个人信息出境安全评估办法》第14条则以事先“告知”数据主体代替“同意”的要求,较大程度减轻了企业的负担。但在2020年公布的《个人信息保护法(草案)》第39条中,立法再次要求须单独征得个人信息主体的同意。从出台时间和法律效力层级来看,《个人信息保护法》未来是数据合规应遵循的基本法,且跨境金融服务商传输的数据同时涉及金融领域,2020年《个人金融信息保护技术规范》亦有征得个人单独同意的要求。因此尽管网络安全层面的规范性文件存在变化,跨境金融服务商未来有较大概率需在其APP中设置相关同意条款以满足上述合规要求。 对于境外接收方向第三方传输的情形,同样存在趋紧的情况。2019年《个人信息出境安全评估办法(征求意见稿)》第16条规定只有向第三方传输的数据中涉及个人敏感信息时,才须征得个人信息主体同意。但从最新《个人信息保护法(草案)》及网信部门的相关态度推测,未来在正式立法中包括个人敏感信息在内的所有个人信息向第三方传输时均可能纳入单独同意的范畴。 金融数据跨境传输的法律关系不仅局限于政府(行业监管部门、网信部门)、跨境金融服务商和投资者个人,还涉及到境内外的数据传输方与数据接收方,《个人信息出境安全评估办法(征求意见稿)》(以下简称《办法》)对此专门要求了签订协议的合规义务。对于这一模式,事实上是充分借鉴了国际上的先进经验和通行做法,主要是仿效欧盟实践多年的适用于个人数据出境的标准合同条款(“SCC”),通过合同条款界定个人信息主体的权利与信息传输方和信息接收方的责任与义务。 同时,为了提高可操作性和有效性,《办法》还将主要责任确定在位于境内的网络运营者上,新增了许多网络运营者对境外接收者的义务条款,如需关注接收者的网络安全要求和个人信息保护落实情况,代接收者先行赔付,加强对境外数据接收者行为的间接规制等等,这些规定都是国际上接受度较高,并且具有较好实践效果的通行做法,体现了中国积极践行与国际接轨,同时又具有中国特色的数据治理路径。不过,关于通过协议约束这一国际通行做法,中国在借鉴时也进行了一定取舍,至于此种取舍是否成功不无争议。 完善视角: 对接国际面向未来 事实上,对包括金融数据在内信息跨境传输的关注已不仅限于国内,国外更是蔚为大观。以2020年11月15日正式签署的《区域全面经济伙伴关系协定》(RCEP)为例,其第十二章(电子商务专章)不仅规定了促进电子贸易便利化的内容,还涵盖了网络安全、个人信息保护、信息跨境传输等方面的要求,考察RCEP第十二章第15条关于“电子方式跨境传输信息”的相关规定,其核心要旨仍是在保证网络安全和数据主体利益的前提下促进数据共享和传输。然而与其显赫地位与重要作用不相适应的是,目前金融数据出境的规范仍是局促在小圈子里的冷门话题,并且如前所述,在网络运营主体、传输数据类型和合规行为层面,理论和实践中都存在不少的的痛点和难点。展望未来,金融数据跨境传输规范至少可以从以下方面予以完善。 (一)明确部门职责 如本文之前关于安全评估义务的论述,目前,仅从行业监管部门和网信部门等发布的各类规定和文件中难以确定金融企业跨境传输数据时进行安全评估或报批的具体部门,而在实践中经考察也确实出现了安全评估职责不明确的情况。由于在2020年发布的《指南》中行业监管部门明确要求对金融数据进行分级管理,其中还特别提及网络安全领域的基础概念——“重要数据”,可见金融领域对数据出境将持更为谨慎的态度,也意味着敏感性较强的金融数据更需要专业化的机构集中进行安全评估。为实现金融安全和信息共享的平衡,促进企业合规与信息流动的良性循环,建议未来明确由相关行业监管部门的下属单位来承担该部分的安全评估,并履行分级管理的职责。 (二)履行个人同意要求 对于境外接收方向第三方传输信息是否须单独同意,前文已经论述目前未有明确的法律法规予以规范,唯一作出规定的是2019年《个人信息出境安全评估办法(征求意见稿)》,其要求仅在涉及个人敏感信息时才须征得个人信息主体同意,这种态度与该《评估办法》关于数据由境内主体向境外传输时仅须事先“告知”保持一致。但从2020年10月公布的《个人信息保护(草案)》对数据出境须单独同意的趋势来看,尽管其没有明确规定向第三方传输的情形,但不难想见其中待考量的风险与跨境传输较为相似,甚至更大。因为境外接收方与境内网络运营者往往基于协议或公司关联关系,故较易对其信息安全措施较进行把控和评估;但对于境外第三方而言,其往往与境内主体没有直接联系,因此更有对个人信息主体权益进行保护的必要,未来规定其须单独同意也是应有之意。 当然,这在操作层面可能存在较大困难,以某跨境金融服务商为例,在其将用户数据向境外运营者传输的情形中,是通过用户协议单独勾选或跳转对话框勾选的形式征得用户同意;但对于境外运营者需向第三方传输数据的情形,其与用户事实上并没有可以交互的渠道。未来可能解决的办法是,境内机构在前述向境外运营者传输并取得信息主体单独同意时,一并设置境外运营者向第三方传输的知情同意条款,以实现相关合规要求。 (三)细化协议规定 尽管中国目前仿效国际经验采取了协议约束的模式,从而进一步规制境内运营者和境外接收方,然而,《办法》和《个人信息保护法(草案)》在数据接收方主体的称谓上仅引入了“个人信息处理者”的定义,也就是说,其没有区分共同控制者和处理者,这个定义更类似于欧盟《通用数据保护条例》(“GDPR”)项下的数据控制者。对于数据处理者角色,草案则按照行为特征进行描述(共同处理、委托处理)。基于这种逻辑,《办法》在上述合同约束模式中便仅规定了一类协议,即境内的网络运营者与境外的数据接收方。 笔者认为,既然中国在数据出境上已有明显仿效欧盟SCC的趋势,且SCC在欧盟多年实践证明其优势确实明显,那么对其实质性内容进行借鉴便更具有必要性。 欧盟SCC事实上包含了两类数据跨境传输合同条款,一类是控制者向共同控制者传输(controller to controller),另一类则是控制者向处理者传输(controller to processor)。将境外主体细分为共同控制者和处理者两类的优势在于可将权利义务精细化。例如,在SCC的“to controller”条款中,规定了合同双方可约定由境外共同控制者响应数据主体和监管机构关于数据处理的询问,而在“to processor”条款中则未进行此种规定,原因在于processor事实上相当于境内数据控制者的机械手,一切处理活动须遵循控制者的指示,自然也没有单独响应询问的可能和必要。 展望未来对于金融数据这类专业性、敏感性强且须分级管理的数据类型,建议在以合同模式约束时可采用区分主体的方式以细分权利义务。这样,一方面可防止监管中可能发生的“一刀切”进而影响数据共享和利用,另一方面也为企业提供明确的合规路径,而非由企业低效率地自行探索法条中数据控制者和处理者的关系,导致其或者冒合规风险而侵害数据安全,或者放弃该业务而影响经营效益。
办公应用始终是推动企业内部信息流动、组织、存储效率的重要推手。有数据统计,办公应用市场规模将在 2021 年突破2200亿美元,且在疫情等不确定因素之下持续加速增长。 近日,办公协同应用“我来wolai”(下称:wolai)获数千万人民币融资。这是此公司首次宣布融资。本轮融资投资方为策源创投。 “wolai”是上海我云网络科技有限公司于今年6月推出的产品,其创始人是前中文音乐星空、互联影库(Mtime时光网前身)创始人马锐拉。wolai方面对《》等媒体记者表示,本轮融资完成后,wolai将继续完善产品功能与稳定性、增加企业级特性,并长期探索新技术在信息处理领域的应用。 wolai是一款办公协同应用产品。它整合了在线文档编辑、云端存储、共享、协同等功能,引入“网状”信息组织形式,最终可帮助企业和个人构建自己的信息库与基于信息组织的工作流。wolai方面介绍,自2020年6月公测以来,wolai已涵盖互联网、教育、科研、设计等行业领域。 策源创投合伙人文心表示,欧美等地类似 wolai 这样创新的办公协同应用正在被越来越多的人使用。在中国,协同办公、效率工具赛道仍处于起步阶段,市场前景极大。 实际上,办公应用行业发展至今已经历了三次迭代。上世纪 80 年代,企业在 WordStar、Microsoft Office 等专业办公软件的帮助下,解决了数字化信息处理的问题。进入 21 世纪,基于网页端的 Google Docs 解决了“文件上云”和协同的问题。2010 年后,以 Evernote 为代表的笔记应用则解决了知识收集的问题。如今,办公应用市场规模迅速增长。 在马锐拉看来,即便是一些最新的企业办公应用,在基础的信息组织层面仍存在一定问题:这些工具仍然沿用了过往的文件系统模型,使得信息与信息之间缺乏联结,形成一个个孤岛,造成企业维护成本居高不下且效率低下及管理混乱等问题,更让个人、企业很难保持一个实时更新的知识体系。 而随着企业对于多人实时协同需求的增加,加之信息渠道拓宽、碎片化信息泛滥、知识工作者增多,这些问题变得越来越突出。 打破孤岛局面,让信息流动起来,是wolai想解决的问题。wolai方面介绍,为此,wolai将用户所能接触到的最小信息单位从“文件”缩小到“信息块”。“信息块”可容纳文字段落、表格、清单,以及嵌入来自外部的图片、视频等信息,且可被简易编辑、移动,经实时呈现后组成页面。 这种以“信息块”为信息最小单位的设计,可以让信息与信息之间的连接更为灵活且紧密。用户可以根据场景,通过层级或双向链接使若干页面链接到一起,最终形成一种网状的信息结构。wolai方面提到,产品不仅可以帮助个人、企业用户完成文档编辑、存储等基础功能,更可以建立高度定制化的模板,快速完成汇报内容的生成、通知和收集。 马锐拉举例说,团队负责人可创立一个链接到各成员工作日报的汇总页面,并将其作为一个检查工作进度的“仪表盘”。团队成员只需点击该页面的模板按钮,就能一键生成新的日报或周报,无需再进行信息之间的组织工作。这种信息组织自然生成的特性还能通过网状的信息图谱得到展示,方便每个人轻松找到所需的页面,且对各个页面之间的关系一目了然。 相比同类型产品,wolai 根据中文用户使用习惯,对中文文字排版、Markdown 语法兼容的快捷输入等功能进行了大量适应性设计,并在系统设计上考虑了云服务的稳定性与安全性。 目前,wolai 正在研发多人协同、多客户端同步等功能,预计将于 2021 年一季度上线。 “我们看好wolai的发展方向,以及创始人马锐拉在技术、产品设计上的能力与追求。我们相信,wolai 可以帮助更多人打造灵活的工作流,释放中小型企业的灵活性和创造性。”文心说道。 责任编辑:孟俊莲 主编:冉学东
“行业巨头对商业和数据价值高、公共属性强的数据形成一定的垄断,加剧了金融领域不公平竞争。”12月15日,在2020第四届中国互联网金融论坛上,国务院参事、银保监会原副主席王兆星表示,要加强数据规范,防止部分市场主体凭技术优势独占数据收益。 他称,当前金融数据流通面临的最大障碍是数据权属问题,数据权利边界不清、权益分配规则不明、纠纷解决机制不健全,导致数据主体缺乏开展数据交易流通的积极性。 由此,金融数据治理仍然面临一系列问题与挑战,包括数据质量需要进一步提高、数据挖掘和利用相对滞后、数据的流通和共享仍存障碍、数据安全隐患较为突出、数据的跨境流通等。 基于此,王兆星建议,加强金融数据治理,首先要强化数据的质量与管理,大力推进金融数据标准化建设,统一金融数据的规则和技术要求,促进金融数据规范定义、规范标识、规范使用,增强数据的可比性。 其次,加强数据开放与共享,打破数据壁垒和垄断。推动建立金融数据交易机制和共享平台,鼓励金融机构依法开放数据源,开展数据交易流通,逐步打破数据孤岛。 三是,加强数据运用与监管。利用新兴技术搭建基于场景的数据平台,挖掘金融数据潜在价值,开展更具有适应性、普惠性、便利性的金融产品,提高金融服务实体经济的智能化水平,推动金融机构基于数据分析实现管理模式变革和业务流程的再造,破解风险管理的痛点,提高金融效率。 “不同金融机构的数字化战略有差别,中小机构数字化转型的压力和难度更大,信息科技外包占据相当比例,更要注意防范相关战略风险和技术风险。”王兆星强调,要提升数字化监管能力,增强监管的前瞻性、针对性和穿透性,实现智慧、智能监管。 此外,进一步加强数据规范与法治。加快数据权属相关立法,明确数据定位,明确归属内容和范围,为数据开放共享、交易流通和权益分配提供法律依据。按照数据权力归属确定可流通数据的范围和流通规则,确定数据权益在数据所有者、开发者和使用者之间的合理分配,防止部分市场主体凭借技术优势独占数据收益,要加强数据垄断的治理能力。有效制止利用数据与相关技术优势开展不正当竞争,进行大数据杀熟、侵犯用户选择权的行为,有关部门有权访问、使用由市场主体产生、加工的具有社会公共属性的相关数据。 另外,加强数据安全与保护。加大个人信息保护执法力度,不得超范围使用客户信息,严厉打击非法贩卖客户信息行为,清理金融业务中的不合规客户信息授权条款,保障金融消费者的知情权和选择权。坚持维护数据安全和促进数据开发利用并重,平衡好数据流转与信息保护的关系,加强金融机构的信息系统、基础设施和灾备体系建设,严格落实网络设施的安全要求,尽可能消除数据泄露的各种隐患。
登录
工商服务
危机公关
金融律师
app开发
财税服务
金融牌照
网站建设
知识产权
企业征信
审计评估